Ransomware
Borna

Kraj cyber-anarhije – Kako izgraditi novi digitalni poredak

Napadi ransomwareom, uplitanje u izbore, korporativna špijunaža, prijetnje električnoj mreži: na temelju bubnjanja trenutnih naslova, čini se da ima malo nade za uvođenje reda u anarhiju kibernetičkog prostora. Neumoljive loše vijesti oslikavaju nekontrolirani online svijet koji iz dana u dan postaje sve opasniji - s mračnim implikacijama ne samo za sam kibernetički prostor već i za gospodarstva, geopolitiku, demokratska društva i osnovna pitanja rata i mira.

S obzirom na ovu uznemirujuću stvarnost, svaka sugestija da je moguće osmisliti pravila prometa u kibernetičkom prostoru nailazi na skepticizam: temeljni atributi kibernetičkog prostora, kako se razmišlja, čine gotovo nemogućim provođenje bilo kakvih normi ili čak saznanje jesu li krše se na prvom mjestu. Države koje deklariraju svoju podršku kibernormama istovremeno provode velike kibernetičke operacije protiv svojih protivnika. Na primjer, u prosincu 2015.

Opća skupština UN-a prvi je put potvrdila skup od 11 dobrovoljnih, neobvezujućih međunarodnih kibernormi. Rusija je pomogla u izradi ovih normi i kasnije potpisala njihovo objavljivanje. Istog mjeseca izveo je kibernetički napad na elektroenergetsku mrežu Ukrajine, ostavivši otprilike 225.000 ljudi bez struje nekoliko sati, a također je pojačao svoje napore da se umiješa u američke predsjedničke izbore 2016. Za skeptike je to poslužilo kao još jedan dokaz da je uspostavljanje normi za odgovorno ponašanje države u kibernetičkom prostoru pusti san.

Ipak, taj skepticizam otkriva nerazumijevanje o tome kako norme funkcioniraju i jačaju tijekom vremena. Kršenja, ako se ne riješe, mogu oslabiti norme, ali ih ne čine irelevantnima. Norme stvaraju očekivanja o ponašanju koja omogućuju da se druge države smatraju odgovornima. Norme također pomažu legitimizirati službene radnje i pomažu državama regrutirati saveznike kada odluče odgovoriti na kršenje.

A norme se ne pojavljuju odjednom niti počinju djelovati preko noći. Povijest pokazuje da je društvima potrebno vrijeme da nauče kako odgovoriti na velike razorne tehnološke promjene i da uspostave pravila koja svijet čine sigurnijim od novih opasnosti. Trebalo je dva desetljeća nakon što su Sjedinjene Države bacile nuklearne bombe na Japan da zemlje postignu dogovor o Ugovoru o ograničenoj zabrani testiranja i Ugovoru o neširenju nuklearnog oružja.

Iako neki analitičari tvrde da odvraćanje ne funkcionira u kibernetičkom prostoru, taj je zaključak pojednostavljen: djeluje na drugačije načine nego u nuklearnoj domeni. I alternativne strategije pokazale su se jednako ili više manjkavim. Kao metenastavljaju širiti, Sjedinjene Države moraju slijediti strategiju koja kombinira odvraćanje i diplomaciju kako bi ojačala zaštitne ograde u ovom novom i opasnom svijetu. Podaci o uspostavljanju normi u drugim područjima nude korisno mjesto za početak – i trebali bi odagnati ideju da su ovo pitanje i ovo vrijeme različiti.

NOVA ŽIVOTNA ČINJENICA

Kako kibernetički napadi postaju sve skuplji, američka strategija obrane od njih i dalje je neadekvatna. Dobra strategija mora započeti kod kuće, ali istovremeno treba prepoznati neodvojivost domaćih i međunarodnih aspekata kibernetičkog prostora – domena kibernetičkog prostora je inherentno transnacionalna. Nadalje, kibernetička sigurnost uključuje zamagljivanje javnih i privatnih ranjivosti. Internet je mreža mreža od kojih je većina u privatnom vlasništvu. Za razliku od nuklearnog ili konvencionalnog oružja, vlada ih ne kontrolira. Sukladno tome, tvrtke prave vlastite kompromise između ulaganja u sigurnost i maksimiziranja kratkoročnog profita. Ipak, neadekvatna korporativna obrana može imati ogromne vanjske troškove za nacionalnu sigurnost: svjedočite nedavnom ruskom kibernetičkom napadu na softver SolarWinds, koji je omogućio pristup računalima diljem SAD-a vlada i privatni sektor. Za razliku od vojne sigurnosti, Pentagon igra samo djelomičnu ulogu.

U području globalnih vojnih sukoba, računalne mreže postale su peta domena, uz tradicionalne četiri domene kopna, mora, zraka i svemira, a američka vojska je to prepoznala stvaranjem Cyber ​​zapovjedništva SAD-a 2010. Među posebne karakteristike nove kibernetičke domene su erozija udaljenosti (oceani više ne pružaju zaštitu), brzina interakcije (mnogo brža od raketa u svemiru), niska cijena (koja smanjuje prepreke ulasku) i teškoće pripisivanja (što potiče poricanje i usporava odgovore). Ipak, skeptici kibernetičke napade ponekad opisuju više kao smetnju nego kao veliki strateški problem. Oni tvrde da je kibernetička domena idealna za špijunažu i druge oblike tajnog djelovanja i ometanja, ali da ostaje daleko manje važna od tradicionalnih domena ratovanja; nitko nije umro zbog kibernetičkog napada. To, međutim, postaje sve teže zauzeti. Napad ransomwarea WannaCry iz 2017. oštetio je Britansku nacionalnu zdravstvenu službu ostavljajući računala šifrirana i neupotrebljiva, zbog čega su tisuće pacijenata morali biti otkazani, a bolnice i proizvođači cjepiva bili su izravno na meti napada ransomwarea i hakera tijekomPandemija COVID-19 .

Štoviše, ostaje mnogo toga što čak ni stručnjaci ne razumiju o tome kako bi korištenje cyber alata moglo eskalirati do fizičkog sukoba. Uzmite u obzir, na primjer, činjenicu da američka vojska uvelike ovisi o civilnoj infrastrukturi i da bi kibernetički prodori mogli ozbiljno degradirati američke obrambene sposobnosti u kriznoj situaciji. A u ekonomskom smislu, razmjeri troškovi kibernetičkih incidenata rastu. Prema nekim procjenama, napad NotPetya na Ukrajinu 2017. sponzoriran od strane Rusije, koji je izbrisao podatke s računala banaka, elektroprivreda, benzinskih crpki i vladinih agencija, koštao je tvrtke više od 10 milijardi dolara kolateralne štete. Broj ciljeva također se brzo širi. S porastom velikih podataka, umjetne inteligencije, napredne robotike i interneta stvari, stručnjaci procjenjuju da će se broj internetskih veza približiti trilijunu do 2030. Svijet je iskusio kibernetičke napade od 1980-ih, ali se površina napada dramatično proširila ; sada uključuje sve od industrijskih kontrolnih sustava do automobila do osobnih digitalnih pomoćnika.

Jasno je da prijetnja raste. Manje je jasno kako se američka strategija može prilagoditi suočavanju s tim. Odvraćanje mora biti dio pristupa, ali cyber-odvraćanje će izgledati drugačije od tradicionalnijih i poznatijih oblika nuklearnog odvraćanja koje je Washington prakticirao desetljećima. Nuklearni napad je pojedinačan događaj, a cilj nuklearnog odvraćanja je spriječiti njegovu pojavu. Nasuprot tome, kibernetički napadi su brojni i stalni, a njihovo odvraćanje više je kao odvraćanje običnog kriminala: cilj je zadržati ga unutar granica. Vlasti odvraćaju od kriminala ne samo uhićenjem i kažnjavanjem ljudi, već i obrazovnim učinkom zakona i normi, patroliranjem četvrti i radom policije u zajednici. Za odvraćanje kriminala nije potrebna prijetnja oblaka gljive.

Ipak, kazna igra veliku ulogu u kibernetičkom odvraćanju. Američka vlada javno je izjavila da će na kibernetičke napade odgovoriti oružjem po vlastitom izboru i snagom proporcionalnom šteti nanesenoj njezinim interesima. Unatoč desetljećima upozorenja, do sada se “cyber-Pearl Harbor” nije dogodio. Hoće li Sjedinjene Države kibernetički napad tretirati kao oružani napad ovisi o njegovim posljedicama, ali to otežava odvraćanje dvosmislenijih radnji. Rusko ometanje američkih predsjedničkih izbora 2016. palo je u tako sivu zonu. Iako se čini da su neki nedavni kineski i ruski cyber napadi izvedeni prvenstveno u svrhu špijunaže, Bidenova administracijase požalio da su ih njihov opseg i trajanje prevazišli normalno špijuniranje. To je razlog zašto odvraćanje u kibernetičkom prostoru zahtijeva ne samo prijetnju kaznom, već i poricanje od strane obrane (izgradnja sustava dovoljno otpornih i jakih da provale u koje se potencijalni napadači neće truditi pokušati) i zapetljavanje (stvaranje veza s potencijalnim protivnicima tako da će svaki napad koji pokrenu vjerojatno naštetiti i njihovim vlastitim interesima). Svaki od ovih pristupa ima ograničenja kada se koristi zasebno. Isprepletenost ima veći učinak kada se koristi protiv Kine, zbog visokog stupnja ekonomske međuovisnosti, nego protiv Sjeverne Koreje, s kojom je nema. Uskraćivanje obranom učinkovito je u odvraćanju nedržavnih aktera i država drugog reda, ali je manje vjerojatno da će spriječiti napade moćnijih i iskusnijih aktera. Ali kombinacija prijetnje kaznom i učinkovite obrane može utjecati na izračun troškova i koristi od strane ovih ovlasti.

Osim poboljšanja obrane mreža unutar Sjedinjenih Država, Washington je posljednjih godina usvojio doktrine koje je Američko kibernetičko zapovjedništvo nazvalo “obrani naprijed” i “upornim angažmanom” – jednostavno rečeno, kibernetička djela malih razmjera, kao što je prekid, preusmjeravanje ili rušenje mreže. Neki medijski izvještaji pripisuju ove prakse smanjenju ruskog uplitanja u američke izbore 2018. i 2020. godine. Ali ulazak i ometanje protivničke mreže predstavlja određenu opasnost od eskalacije i mora se pažljivo upravljati njome.

 

POSTAVLJANJE NEKIH PRAVILA

Unatoč svojim obrambenim i ofenzivnim sposobnostima, Sjedinjene Države i dalje su vrlo ranjive na kibernetičke napade i operacije utjecaja, zahvaljujući svojim slobodnim tržištima i otvorenom društvu. “Mislim da je dobra ideja barem razmisliti o staroj pili o [kako] ljudi koji žive u staklenim kućama ne bi trebali bacati kamenje”, primijetio je James Clapper, tadašnji direktor Nacionalne obavještajne službe, tijekom svjedočenja u Kongresu 2015. o reakcijama Washingtona na kibernetičke napade. Clapper je s pravom naglašavao da, iako su Amerikanci možda najbolji u bacanju kamenja, oni žive u najstakljenijim kućama. Ta stvarnost daje Sjedinjenim Državama poseban interes za razvoj normi koje smanjuju poticaje za bacanje kamenja u kibernetičkom prostoru.

Pregovaranje o ugovorima o kontroli kibernetičkog naoružanja bilo bi izuzetno teško jer se ne bi mogli provjeriti. Ali diplomacija u kibernetičkom prostoru teško da je nemoguća. Zapravo, međunarodna suradnja na razvoju kibernetičkih normi traje više od dva desetljeća. Godine 1998. Rusija je prvi put predložila UN-ov sporazum o zabrani elektroničkog i informacijskog oružja. Sjedinjene Države odbacile su ideju, tvrdeći da bi sporazum u ovom području bio neprovjerljiv jer je li linija koda oružje ili ne može ovisiti o namjeri korisnika. Umjesto toga, Sjedinjene Države su se složile da bi glavni tajnik UN-a trebao imenovati skupinu od 15 (kasnije proširena na 25) vladinih stručnjaka koji će razviti skup pravila puta; prvi put su se sreli 2004.

Od tada se okupilo šest takvih skupina, koje su izdale četiri izvješća, stvarajući široki okvir normi koje je kasnije odobrila Opća skupština UN-a. Rad skupina učvrstio je konsenzus da se međunarodno pravo primjenjuje na domenu kibernetičkog prostora i da je neophodno za održavanje mira i stabilnosti u njemu. Osim hvatanja u koštac s kompliciranim pitanjima međunarodnog prava, izvješće koje je objavljeno 2015. uvelo je 11 dobrovoljnih, neobvezujućih normi, od kojih su najvažnije mandat za pružanje pomoći državama kada se to zatraži i zabrana napada na civilnu infrastrukturu, ometanje računalnih hitnih slučajeva timovi za odgovor, koji odgovaraju nakon velikih kibernetičkih napada, te dopuštanje da se vlastiti teritorij koristi za nezakonite radnje.

Izvješće se smatralo pomakom, no napredak je usporen 2017. kada se stručna skupina nije uspjela dogovoriti o međunarodnim pravnim pitanjima i nije izradila izvješće o konsenzusu. Na prijedlog Rusije, UN je nadopunio postojeći proces formiranjem Otvorene radne skupine koja je otvorena za sve države i uključuje konzultacije s nevladinim akterima: desecima privatnih tvrtki, organizacija civilnog društva, akademika i tehničkih stručnjaka. Početkom 2021. ova je nova grupa izdala opširno, iako pomalo anodinično, izvješće koje je ponovno potvrdilo norme iz 2015., kao i relevantnost međunarodnog prava za kibernetički prostor. Prošlog lipnja, šesta stručna skupina također je završila svoj rad i objavila izvješće koje je dodalo važne pojedinosti u 11 normi koje su prvi put uvedene 2015. Kina i Rusija još uvijek vrše pritisak na sporazum,

Osim procesa UN-a, postojali su mnogi drugi forumi za raspravu o kibernormama, uključujući Globalnu komisiju za stabilnost kiberprostora. Pokrenut 2017. od strane nizozemskog think tanka, uz snažnu potporu nizozemske vlade, GCSC-om (čiji sam bio član) supredsjedali su Estonija, Indija i Sjedinjene Države, a uključivao je bivše vladine dužnosnike, stručnjake iz civilnog društva , te akademici iz 16 zemalja. GCSC je predložio osam normi za rješavanje nedostataka u postojećim smjernicama UN-a. Najvažniji su bili pozivi da se zaštiti “javna jezgra” infrastrukturezaštitu interneta od napada i zabranu uplitanja u izborne sustave. GCSC je također pozvao zemlje da ne koriste cyber alate za ometanje opskrbnih lanaca; ne uvoditi botnete u tuđe strojeve kako bi ih kontrolirali bez znanja glavnog računala; stvoriti transparentne procese koje države mogu slijediti u prosudbi trebaju li otkriti nedostatke i ranjivosti koje otkriju u kodiranju drugih; potaknuti države da odmah zakrpaju kibersigurnosne ranjivosti kada se otkriju i da ih ne čuvaju za moguću upotrebu u budućnosti; poboljšati “cyber higijenu”, uključujući putem zakona i propisa; i obeshrabriti privatni vigilantizam tako što će privatnim tvrtkama protuzakoniti “hakiranje”, to jest pokretanje protunapada protiv hakera.

Ovi napori su manje blistavi (i jeftiniji) od razvoja sofisticiranih sustava kibernetičke obrane, ali će igrati ključnu ulogu u obuzdavanju zloćudnih aktivnosti na internetu. Mogu se zamisliti i predložiti mnoge dodatne norme za kibernetički prostor, ali važno pitanje sada nije je li potrebno više normi, već kako će se one implementirati i hoće li i kada promijeniti ponašanje države.

NOVI PRIVATNICI

Norme nisu učinkovite dok ne postanu uobičajena državna praksa, a to može potrajati. Bilo je potrebno mnogo desetljeća da se u Europi i Sjedinjenim Državama u devetnaestom stoljeću razviju norme protiv ropstva. Ključno pitanje je zašto države uopće dopuštaju da norme ograničavaju njihovo ponašanje. Postoje najmanje četiri glavna razloga: koordinacija, razboritost, troškovi reputacije i domaći pritisci, uključujući javno mnijenje i ekonomske promjene.

Zajednička očekivanja upisana u zakone, norme i načela pomažu državama da koordiniraju svoje napore. Na primjer, iako neke države (uključujući Sjedinjene Države) nisu ratificirale Konvenciju UN-a o pravu mora, sve države tretiraju ograničenje od 12 milja kao običajno međunarodno pravo kada se radi o sporovima oko teritorijalnih voda. Prednosti koordinacije — i rizici koje predstavlja njezina odsutnost — bili su očiti u kibernetičkom prostoru u nekoliko prilika kada su mete bile hakirane zlouporabom internetskog sustava naziva domena, koji se ponekad naziva “telefonskim imenikom interneta” i koji je vodi neprofitna internetska korporacija za dodjeljivanje imena i brojeva ili ICANN. Oštećujući telefonski imenik, takvi napadi ugrožavaju osnovnu stabilnost interneta. Nema Interneta ako se države ne suzdrže od uplitanja u strukturu koja omogućuje povezivanje privatnih mreža. I tako, većinom, države izbjegavaju te taktike.

Razboritost proizlazi iz straha od stvaranja neželjenih posljedica u nepredvidivim sustavima i može se razviti u normu neuporabe ili ograničene uporabe određenih oružja ili normu ograničavanja ciljeva. Tako nešto se dogodilo s nuklearnim oružjem kada su se supersile približile rubu nuklearnog rata 1962., tijekom kubanske raketne krize. Godinu dana kasnije uslijedio je Ugovor o ograničenoj zabrani testiranja. Daljnji, ali povijesni primjer kako je razboritost stvorila normu protiv korištenja određenih taktika je sudbina privatnog poslovanja. U osamnaestom su stoljeću nacionalne mornarice rutinski zapošljavale privatne osobe ili privatne brodove kako bi povećale svoju moć na moru. Ali u sljedećem stoljeću države su se okrenule od privatnika jer je njihova izvannastavna pljačka postala preskupa. Dok su se vlade borile da kontroliraju privatnike, stavovi su se promijenili, a razvile su se i nove norme razboritosti i suzdržanosti. Moglo bi se zamisliti da se nešto slično događa u domeni kibernetičkog prostora jer vlade otkriju da korištenje posrednika i privatnih aktera za izvođenje kibernetičkih napada proizvodi negativne ekonomske učinke i povećava rizik od eskalacije. Brojne su države zabranile “hakiranje natrag”.

Zabrinutost zbog narušavanja ugleda zemlje i meke moći također može proizvesti dobrovoljnu suzdržanost. Tabui se razvijaju tijekom vremena i povećavaju troškove korištenja ili čak posjedovanja oružja koje može nanijeti golemu štetu. Uzmimo, na primjer, Konvenciju o biološkom oružju, koja je stupila na snagu 1975. Svaka zemlja koja želi razviti biološko oružje mora to činiti tajno i ilegalno i suočava se sa širokom međunarodnom osudom ako dokazi o njezinim aktivnostima procure, kao što je rekao irački vođa Saddam Hussein otkrio.

Teško je zamisliti pojavu sličnog općeg tabua protiv uporabe kibernetičkog oružja. S jedne strane, teško je odrediti je li neki određeni redak koda oružje ili ne. Vjerojatniji je tabu onaj koji bi zabranio upotrebu kibernetičkog oružja protiv određenih ciljeva, kao što su bolnice ili sustavi zdravstvene skrbi. Takve bi zabrane imale prednost u borbi protiv postojećeg tabua protiv uporabe konvencionalnog oružja protiv civila. Tijekom pandemije COVID-19, javno gnušanje prema ransomware napadima na bolnice pomoglo je učvrstiti taj tabu i sugeriralo kako bi se mogao primijeniti na druga područja u području cyber prostora. Nešto slično moglo bi se razviti kad bi hakeri prouzročili porast nesreća sa smrtnim ishodom uzrokovanih korištenjem električnih vozila.

PRITISAK VRŠNJAKA
Neki znanstvenici tvrde da norme imaju prirodan životni ciklus. Često počinju s “normalnim poduzetnicima”: pojedincima, organizacijama, društvenim skupinama i službenim komisijama koje uživaju golem utjecaj na javno mnijenje. Nakon određenog razdoblja gestacije, neke norme dosežu kritičnu točku, kada se slapovi prihvaćanja pretoče u rašireno uvjerenje i vođe shvate da bi platili visoku cijenu za njihovo odbacivanje.

Embrionalne norme mogu proizaći iz promjene društvenih stavova ili se mogu uvesti. Uzmimo, na primjer, širenje brige za univerzalna ljudska prava nakon 1945. Zapadne zemlje preuzele su vodstvo u promicanju Opće deklaracije o ljudskim pravima 1948., ali su se mnoge druge države osjećale obveznima potpisati zbog javnog mnijenja i nakon toga su se našle ograničene vanjskim pritiskom i brigom za svoj ugled. Moglo bi se očekivati ​​da su takva ograničenja jača u demokracijama nego u autoritarnim državama. Ali Helsinški proces, niz sastanaka između Sovjetskog Saveza i zapadnih zemalja početkom 1970-ih, uspješno je uključio ljudska prava u rasprave o političkim i ekonomskim pitanjima tijekom Hladnog rata.

Ekonomske promjene također mogu potaknuti potražnju za novim normama koje bi mogle promovirati učinkovitost i rast. Norme protiv privatništva i ropstva dobile su podršku kad su te prakse bile u gospodarskom padu. Slična dinamika danas je na djelu u kibernetičkom području. Tvrtke koje se nađu u nepovoljnom položaju zbog proturječnih nacionalnih zakona koji se odnose na privatnost i lokaciju podataka mogu izvršiti pritisak na vlade da razviju zajedničke standarde i norme. Industrija kibernetičkog osiguranja mogla bi izvršiti pritisak na vlasti da razviju standarde i norme, posebno u pogledu tehnologije ugrađene u bezbroj kućanskih uređaja (termostati, hladnjaci, kućni alarmni sustavi) koji su sada online: takozvani Internet stvari . Kako se sve više i više uređaja povezuje s internetom, uskoro će postati mete kibernetičkih napada, a utjecaj na svakodnevni život građana povećat će se i potaknuti potražnju za domaćim i međunarodnim normama. Zabrinutost javnosti samo će se ubrzati ako hakiranje postane više od smetnje i počne koštati života. Ako se smrtni slučajevi povećaju, norma Silicijske doline “brzo izgradi i zakrpi kasnije” mogla bi postupno ustupiti mjesto normama i zakonima o odgovornosti koji stavljaju veći naglasak na sigurnost.

KIBER PRAVILA SU NAPRAVLJENA DA SE KRŠE

Čak i uz međunarodni konsenzus da su norme potrebne, dogovor o tome gdje povući crvene linije i što učiniti kada se one prijeđu druga je stvar. I postavlja se pitanje, čak i ako autoritarne države potpišu normativne konvencije, koliko je vjerojatno da će ih se pridržavati? Godine 2015. kineski predsjednik Xi Jinping i američki predsjednik Barack Obama složili su se da neće koristiti kibernetičku špijunažu za komercijalnu prednost, ali privatne zaštitarske tvrtke izvijestile su da se Kina pridržavala ovog obećanja samo godinu dana prije nego što se vratila staroj navici hakiranja SAD-a korporativnih i federalnih podataka, iako se to dogodilo u kontekstu pogoršanja gospodarskih odnosa obilježenih porastom carinskih ratova. Znači li to da dogovor nije uspio? Umjesto da pitanje bude da ili ne, kritičari tvrde da fokus (i svako upozorenje protiv takvih radnji koje slijedi) treba biti na količini učinjene štete, a ne na preciznim linijama koje su prijeđene ili kako su kršenja izvršena. Analogija je reći domaćinima pijane zabave da ćete, ako buka postane preglasna, pozvati policiju. Cilj nije nemoguće zaustaviti glazbu, već je praktičniji cilj smanjiti glasnoću na podnošljiviju razinu.

Postoje druga vremena kada će Sjedinjene Države morati povući načelne linije i braniti ih. Trebala bi priznati da će nastaviti s upadima u kibernetički prostor za svrhe koje smatra legitimnima. I morat će precizno navesti norme i ograničenja koja će Washington podržavati – i prozvati zemlje koje ih krše. Kada Kina ili Rusija prijeđu crtu, Sjedinjene Države će morati odgovoriti ciljanom odmazdom. To bi moglo uključivati ​​javne sankcije, ali i privatne akcije, kao što je zamrzavanje bankovnih računa nekih oligarha ili objavljivanje neugodnih informacija o njima. Praksa američkog Cyber ​​Commanda obrane naprijed i ustrajnog angažmana ovdje može biti korisna, iako bi najbolje bila popraćena procesom tihe komunikacije.

Ugovori koji se tiču ​​kiberprostora mogu biti neprovedivi, ali bi moglo biti moguće postaviti ograničenja za određene vrste ponašanja i pregovarati o grubim pravilima prometa. Tijekom Hladnog rata, neformalne norme regulirale su postupanje sa špijunima svake strane; protjerivanje, a ne pogubljenje, postalo je norma. Godine 1972. Sovjetski Savez i Sjedinjene Države dogovorili su Sporazum o incidentima na moru kako bi ograničili pomorsko ponašanje koje bi moglo dovesti do eskalacije. Danas bi Kina, Rusija i Sjedinjene Države mogle pregovarati o ograničenjima svog ponašanja u vezi s opsegom i vrstom kibernetičke špijunaže koju provode, kao što su Xi i Obama učinili 2015. Ili bi se mogle dogovoriti o postavljanju ograničenja međusobnih intervencija domaće političke procese. Iako bi takvim obećanjima nedostajao precizan jezik formalnih ugovora, tri zemlje mogle bi samostalno davati jednostrane izjave o područjima samoograničenja i uspostaviti konzultativni proces za obuzdavanje sukoba. Ideološke razlike otežale bi detaljan dogovor, ali još veće ideološke razlike nisu spriječile sporazume koji su pomogli u izbjegavanju eskalacije tijekom Hladnog rata. Razboritost ponekad može biti važnija od ideologije.

Čini se da je to bio pristup koji je Bidenova administracija istražila na lipanjskom summitu s ruskim predsjednikom Vladimirom Putinom u Ženevi, gdje je cyberspace igrao veću ulogu na dnevnom redu od nuklearnog oružja. Prema izvještajima medija, američki predsjednik Joe Biden predao je Putinu popis od 16 područja kritične infrastrukture, uključujući kemikalije, komunikacije, energiju, financijske usluge, zdravstvenu skrb i informacijsku tehnologiju, koja bi trebala biti, prema Bidenovim riječima, “zabranjena za napad , točka.” Nakon summita, Biden je otkrio da je pitao Putina kako bi se osjećao da ruske plinovode uništi ransomware. “Istakao sam mu da imamo značajne kibernetičke sposobnosti i on to zna”, primijetio je Biden na konferenciji za novinare. “Ne zna točno što je, ali je značajno. A ako oni zapravo krše te osnovne norme, mi ćemo odgovoriti cyber. Zna.” Do sada, međutim, nije jasno u kojoj su mjeri Bidenove riječi bile učinkovite.

Jedan problem s određivanjem onoga što treba zaštititi mogao bi biti taj što implicira da su druga područja poštena igra — i da će se napadi ransomwarea od strane kriminalaca u Rusiji nastaviti bez obzira na sve. U cyber-sferi, nedržavni akteri služe kao zastupnici države u različitim stupnjevima, a pravila bi trebala zahtijevati njihovu identifikaciju i ograničavanje. A budući da pravila puta nikada neće biti savršena, moraju biti popraćena konzultativnim procesom koji uspostavlja okvir za upozoravanje i pregovaranje. Takav proces, zajedno sa snažnim prijetnjama odvraćanja, vjerojatno neće u potpunosti zaustaviti kinesko i rusko uplitanje, ali ako smanji njegovu učestalost ili intenzitet, mogao bi poboljšati obranu američke demokracije od takvih kibernetičkih napada.

PROMJENA PONAŠANJA
U kibernetičkom prostoru, jedna veličina ne odgovara svima. Mogu postojati neke norme vezane uz koordinaciju koje se mogu prilagoditi i autoritarnim i demokratskim državama. Ali drugi ne mogu, kao što je program za “slobodu interneta” koji je predstavila američka državna tajnica Hillary Clinton 2010. Proklamirao je slobodan i otvoren internet. Možemo zamisliti norme organizirane u skupu koncentričnih krugova s ​​onim što Europljani nazivaju “varijabilnom geometrijom” obveza. Grupe demokracija mogu postaviti više standarde za sebe dogovorom o normama koje se odnose na privatnost, nadzor i slobodu izražavanja i njihovim provođenjem kroz posebne trgovinske sporazume koji bi davali prednost onima koji zadovoljavaju više standarde, prema smjernicama koje sugerira stručnjak za kibernetičku sigurnost Robert Knake.

Diplomacija među demokracijama po ovim pitanjima neće biti laka, ali će biti važan dio američke strategije . Kao što su tvrdili James Miller i Robert Butler, dva bivša visoka dužnosnika Pentagona, “Ako američki saveznici i partneri podupiru kibernetičke norme, vjerojatno će biti spremniji podržati nametanje troškova prekršiteljima, čime se značajno poboljšava vjerodostojnost, ozbiljnost (putem multilateralnih nametanje troškova) i održivost američkih prijetnji nametanjem troškova kao odgovor na kršenja.”

Bidenova administracija bori se s činjenicom da je domena kibernetičkog prostora stvorila važne nove prilike i ranjivosti u svjetskoj politici. Reorganizacija i reinženjering kod kuće moraju biti u središtu rezultirajuće strategije, ali također trebaju snažnu međunarodnu komponentu temeljenu na odvraćanju i diplomaciji. Diplomatska komponenta mora uključivati ​​saveze među demokracijama, izgradnju kapaciteta u zemljama u razvoju i poboljšane međunarodne institucije. Takva strategija također mora uključivati ​​razvoj normi s dugoročnim ciljem zaštite stare staklene kuće američke demokracije od novog kamenja internetskog doba.